Unified Communications Manager IM & Presence Service 자체 서명 인증서 재생성

소개

이 문서에서는 Unified Communications Manager IM & Presence Service 8.X 이상에서 인증서를 재생성하는 방법에 대한 권장 단계별 절차를 제공합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
· IM/P(IM and Presence) 인증서

사용되는 구성 요소

· IM/P 릴리스 8.X 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

인증서 저장소 사용률

CUP(Cisco Unified Presence) 인증서

· SIP 페더레이션을 위한 보안 SIP 연결, Lync/OCS/LCS를 위한 Microsoft Remote Call Control, CUCM과 IM/P 간의 보안 연결 등에 사용됩니다.

CUP-XMPP(Cisco Unified Presence - Extensible Messaging and Presence Protocol) 인증서

· XMPP 세션이 생성될 때 XMPP 클라이언트에 대한 보안 연결을 검증하는 데 사용됩니다.

CUP-XMPP-S2(Cisco Unified Presence - Extensible Messaging and Presence Protocol - Server to Server) 인증서

· 외부 페더레이션 XMPP 시스템과의 XMPP 도메인 간 페더레이션에 대한 보안 연결을 확인하는 데 사용됩니다.

IPSec(IP 보안) 인증서

· DRS(Disaster Recovery System)/DRF(Disaster Recovery Framework)의 보안 연결을 검증하는 데 사용됩니다.
· 클러스터의 CUCM(Cisco Unified Communications Manager) 및 IM/P 노드에 대한 IPsec 터널의 보안 연결을 검증하는 데 사용됩니다.

Tomcat 인증서

· 클러스터 내 다른 노드의 서비스 페이지 액세스 및 Jabber 액세스 등 다양한 웹 액세스를 검증하는 데 사용됩니다.
· SSO(SAML Single Sign-On)에 대한 보안 연결의 유효성을 검사하는 데 사용됩니다.

· 클러스터 간 피어에 대한 보안 연결을 검증하는 데 사용됨

인증서 재생성 프로세스

CUP 인증서

1단계. 클러스터의 각 서버에 대한 GUI를 엽니다. IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI(Graphical User Interface)를 차례로 열고 Cisco Unified OS Administration(Cisco Unified OS 관리) > Security(보안) > Certificate Management(인증서 관리)로 이동합니다

2단계. 게시자 GUI로 시작하고 Find(찾기)를 선택하여 모든 인증서를 표시합니다.

· cup.pem 인증서를 선택합니다.

· 열었으면 Regenerate(재생성)를 선택하고 팝업이 닫히기 전에 Success(성공)가 표시될 때까지 기다립니다.

3단계. 후속 가입자로 계속 진행 2단계에서 동일한 절차를 수행하고 클러스터의 모든 가입자에 대해 완료합니다.

4단계.  모든 노드에서 CUP 인증서가 재생성되면 다음 순서대로 이러한 서비스를 재시작해야 합니다.

참고: Presence Redundancy Group(프레즌스 이중화 그룹) 컨피그레이션에서 Enable High Availability(고가용성 활성화)를 선택한 경우, 다음 서비스를 다시 시작하기 전에 이 옵션의 선택을 취소합니다. Presence Redundancy Group(프레즌스 이중화 그룹) 컨피그레이션은 CUCM Pub Administration(CUCM Pub 관리) > System(시스템) > Presence Redundancy Group(프레즌스 이중화 그룹)에서 액세스할 수 있습니다. 아래 서비스를 다시 시작하면 IM/P가 일시적으로 중단되며 운영 시간 외에 수행해야 합니다.

· Publisher의 Cisco Unified Serviceability 로그인

   a. Cisco Unified Serviceability(Cisco Unified 서비스 가용성) > Tools(툴) > Control Center - Feature Services(제어 센터 - 기능 서비스)

   b. Cisco SIP Proxyservice를 다시 시작합니다.

   c. 서비스 재시작이 완료되면 가입자를 계속 사용하여 Cisco SIP Proxy 서비스를 재시작합니다

   d. 게시자로 시작한 다음 가입자를 계속 진행합니다. Cisco SIP Proxy 서비스를 다시 시작합니다(Cisco Unified Serviceability > Tools > Control Center - Feature Services에서도).

· Publisher의 Cisco Unified Serviceability 로그인

   a. Cisco Unified Serviceability(Cisco Unified 서비스 가용성) > Tools(툴) > Control Center - Feature Services(제어 센터 - 기능 서비스)

   b. Cisco Presence Engine 서비스를 다시 시작합니다.

   c. 서비스 재시작이 완료되면 가입자에서 Cisco Presence Engine Service 재시작을 계속합니다.

참고: SIP Federation에 대해 구성된 경우 Cisco XCP SIP Federation Connection Manager 서비스를 다시 시작합니다(Cisco Unified Serviceability > Tools > Control Center - Feature Services 위치). Publisher로 시작한 다음 가입자로 계속 진행합니다.

CUP-XMPP 인증서

참고: Jabber는 CUCM tomcat 및 IM/P tomcat 및 cup-xmpp 서버 인증서를 사용하여 tomcat 및 cup-xmpp 서비스에 대한 연결을 검증하므로 대부분의 경우 CA 서명된 CUCM 및 IM/P 인증서입니다. Jabber 디바이스에 루트 및 CUP-XMPP 인증서의 일부인 중간 인증서가 인증서 신뢰 저장소에 설치되어 있지 않은 경우 jabber 클라이언트는 신뢰할 수 없는 인증서에 대한 보안 경고 팝업을 표시합니다. Jabber 디바이스의 인증서 신뢰 저장소에 아직 설치되지 않은 경우, 그룹 정책, mdm, 이메일 등을 통해 jabber 디바이스에 루트 및 중간 인증서를 푸시해야 합니다.

참고: CUP-XMPP 인증서가 자체 서명된 경우 jabber 디바이스의 인증서 신뢰 저장소에 CUP-XMPP 인증서가 설치되지 않은 경우 jabber 클라이언트는 신뢰할 수 없는 인증서에 대한 보안 경고 팝업을 표시합니다. Jabber 디바이스의 인증서 신뢰 저장소에 아직 설치되지 않은 경우, 자체 서명 CUP-XMPP 인증서는 jabber 클라이언트에 따라 그룹 정책, mdm, 이메일 등을 통해 jabber 디바이스에 푸시되어야 합니다.

1단계. 클러스터의 각 서버에 대한 GUI를 엽니다. IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI를 차례로 열고 Cisco Unified OS Administration > Security > Certificate Management로 이동합니다

2단계. 게시자 GUI로 시작하고 Find(찾기)를 선택하여 모든 인증서를 표시합니다.

· cup-xmpp.pem Certificate의 Type 열에서 자체 서명 또는 CA 서명 여부를 확인합니다.

· cup-xmpp.pem 인증서가 서드파티 서명(CA 서명 유형) 배포 다중 SAN인 경우, 다중 SAN cup-xmpp CSR을 생성하고 CA 서명 cup-xmpp 인증서를 위해 CA에 제출하는 다음 링크를 검토하십시오. CA 서명 다중 서버 주체 대체 이름 컨피그레이션 예제가 포함된 Unified Communication 클러스터 설정

· cup-xmpp.pem 인증서가 서드파티 서명(CA 서명 유형) 배포 단일 노드인 경우(배포 이름이 인증서의 일반 이름과 같음) 단일 노드 cup-xmpp CSR을 생성하고 CA 서명 cup-xmpp 인증서에 대해 CA에 제출하는 다음 링크를 검토합니다. Jabber 인증서 검증을 위한 How-To Guide를 완료합니다

· cup-xmpp.pem Certificate(cup-xmpp.pem 인증서)가 Self-signed(셀프 서명)된 경우 3단계로 진행합니다.

3단계. 모든 인증서를 표시하려면 Find(찾기)를 선택합니다
· cup-xmpp.pem Certificate를 선택합니다.
· 열리면 Regenerate(재생성)를 선택하고 팝업이 닫히기 전에 Success(성공)가 표시될 때까지 기다립니다..

4단계. 후속 가입자를 계속 진행합니다. 2단계에서 동일한 절차를 수행하고 클러스터의 모든 가입자에 대해 완료합니다.

5단계. 모든 노드에서 CUP-XMPP 인증서가 재생성된 후 IM/P 노드에서 Cisco XCP Router 서비스를 재시작해야 합니다.

참고: Presence Redundancy Group Configuration(프레즌스 이중화 그룹 컨피그레이션)에서 Enable High Availability(고가용성 활성화)를 선택한 경우, 서비스를 다시 시작하기 전에 이 옵션의 선택을 취소합니다. Presence Redundancy Group Configuration(프레즌스 이중화 그룹 컨피그레이션)은 CUCM Pub Administration(CUCM Pub 관리) > System(시스템) > Presence Redundancy Group(프레즌스 이중화 그룹)에서 액세스할 수 있습니다. 아래 서비스를 다시 시작하면 IM/P가 일시적으로 중단되며 운영 시간 외에 수행해야 합니다.

· Publisher의 Cisco Unified Serviceability 로그인
   a. Cisco Unified Serviceability(Cisco Unified 서비스 가용성) > Tools(툴) > Control Center - Network Services(제어 센터 - 네트워크 서비스)
   b. Cisco XCP Router 서비스를 다시 시작합니다.
   c. 서비스 재시작이 완료되면 가입자에서 Cisco XCP Router 서비스 재시작을 계속합니다.

CUP-XMPP-S2S 인증서

1단계. 클러스터의 각 서버에 대한 GUI를 엽니다. IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI를 차례로 열고 Cisco Unified OS Administration > Security > Certificate Management로 이동합니다

2단계. 게시자 GUI로 시작하고 Find(찾기)를 선택하여 모든 인증서를 표시합니다.
· cup-xmpp-s2s.pem Certificate를 선택합니다.
· 열었으면 Regenerate(재생성)를 선택하고 팝업이 닫히기 전에 Success(성공)가 표시될 때까지 기다립니다.

3단계. 후속 가입자로 계속 진행 2단계에서 동일한 절차를 수행하고 클러스터의 모든 가입자에 대해 완료합니다.

4단계. 모든 노드에서 CUP-XMPP-S2S 인증서가 재생성된 후 다음 순서대로 서비스를 재시작해야 합니다.

참고: Presence Redundancy Group Configuration(프레즌스 이중화 그룹 컨피그레이션)에서 Enable High Availability(고가용성 활성화)를 선택한 경우, 이러한 서비스를 다시 시작하기 전에 이 옵션의 선택을 취소합니다. Presence Redundancy Group Configuration(프레즌스 이중화 그룹 컨피그레이션)은 CUCM Pub Administration(CUCM Pub 관리) > System(시스템) > Presence Redundancy Group(프레즌스 이중화 그룹)에서 액세스할 수 있습니다. 아래 서비스를 다시 시작하면 IM/P가 일시적으로 중단되며 운영 시간 외에 수행해야 합니다.

· Publisher의 Cisco Unified Serviceability 로그인
   a. Cisco Unified Serviceability(Cisco Unified 서비스 가용성) > Tools(툴) > Control Center - Network Services(제어 센터 - 네트워크 서비스)
   b. Cisco XCP Router 서비스를 다시 시작합니다.
   c. 서비스 재시작이 완료되면 가입자에서 Cisco XCP Router 서비스 재시작을 계속합니다.

· Publisher의 Cisco Unified Serviceability 로그인

   a. Cisco Unified Serviceability(Cisco Unified 서비스 가용성) > Tools(툴) > Control Center - Feature Services(제어 센터 - 기능 서비스)

   b. Cisco XCP XMPP Federation Connection Manager 서비스를 다시 시작합니다.

   c. 서비스 재시작이 완료되면 가입자에서 Cisco XCP XMPP Federation Connection Manager 서비스 재시작을 계속합니다.

IPSEC 인증서

참고: CUCM 게시자의 ipsec.pem 인증서가 유효해야 하며 IPSEC 신뢰 저장소의 모든 가입자(CUCM 및 IM/P 노드)에 있어야 합니다. 구독자 IPSEC.pem 인증서는 표준 배포에서 IPSEC 신뢰 저장소로 게시자에 표시되지 않습니다. 유효성을 확인하기 위해 CUCM-PUB의 ipsec.pem 인증서의 일련 번호와 가입자의 IPSEC-trust를 비교합니다. 꼭 일치해야 합니다.

참고: 재해 복구 시스템은 CUCM 클러스터 노드(CUCM 및 IM/P 노드) 간의 데이터 인증 및 암호화를 위해 마스터 에이전트와 로컬 에이전트 간의 SSL(Secure Socket Layer) 기반 통신을 사용합니다. DRS는 공용/개인 키 암호화에 IPSec 인증서를 사용합니다. Certificate Management 페이지에서 IPSEC truststore (hostname.pem) 파일을 삭제하면 DRS가 예상대로 작동하지 않습니다. IPSEC-trust 파일을 수동으로 삭제하는 경우 IPSEC 인증서를 IPSEC 신뢰 저장소에 업로드해야 합니다. 자세한 내용은 Cisco Unified Communications Manager 보안 가이드의 인증서 관리 도움말 페이지를 참조하십시오.

1단계. 클러스터의 각 서버에 대한 GUI를 엽니다. IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI를 차례로 열고 Cisco Unified OS Administration > Security > Certificate Management로 이동합니다

2단계. 게시자 GUI로 시작하고 Find(찾기)를 선택하여 모든 인증서를 표시합니다.
· ipsec.pem 인증서를 선택합니다.
· 열었으면 Regenerate(재생성)를 선택하고 팝업이 닫히기 전에 Success(성공)가 표시될 때까지 기다립니다.

3단계. 후속 가입자로 계속 진행 2단계에서 동일한 절차를 수행하고 클러스터의 모든 가입자에 대해 완료합니다.

4단계. 모든 노드에서 IPSEC 인증서를 재생성한 후 다음 서비스를 재시작합니다.
· 게시자의 Cisco Unified Serviceability(Cisco Unified 서비스 가용성) Cisco Unified Serviceability(Cisco Unified 서비스 가용성) > Tools(툴) > Control Center - Network Services(제어 센터 - 네트워크 서비스)로 이동합니다.
   a. Cisco DRF Master 서비스에서 재시작을 선택합니다
   b. 서비스 재시작이 완료되면 게시자의 Cisco DRF 로컬 서비스 재시작을 선택한 다음 각 가입자에서 Cisco DRF 로컬 서비스 재시작을 계속합니다.

TOMCAT 인증서

참고: Jabber는 CUCM tomcat 및 IM/P tomcat 및 cup-xmpp 서버 인증서를 사용하여 tomcat 및 cup-xmpp 서비스에 대한 연결을 검증하므로 대부분의 경우 CA 서명된 CUCM 및 IM/P 인증서입니다. Jabber 디바이스에 루트 및 Tomcat 인증서의 일부인 중간 인증서가 인증서 신뢰 저장소에 설치되지 않은 경우 jabber 클라이언트는 신뢰할 수 없는 인증서에 대한 보안 경고 팝업을 표시합니다. Jabber 디바이스의 인증서 신뢰 저장소에 아직 설치되지 않은 경우, 그룹 정책, mdm, 이메일 등을 통해 jabber 디바이스에 루트 및 중간 인증서를 푸시해야 합니다.

참고: Tomcat 인증서가 자체 서명된 경우 Tomcat 인증서가 jabber 디바이스의 인증서 신뢰 저장소에 설치되지 않은 경우 jabber 클라이언트는 신뢰할 수 없는 인증서에 대한 보안 경고 팝업을 표시합니다. Jabber 디바이스의 인증서 신뢰 저장소에 아직 설치되지 않은 경우, 자체 서명 CUP-XMPP 인증서는 jabber 클라이언트에 따라 그룹 정책, mdm, 이메일 등을 통해 jabber 디바이스에 푸시되어야 합니다.

1단계. 클러스터의 각 서버에 대한 GUI를 엽니다. IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI를 차례로 열고 Cisco Unified OS Administration > Security > Certificate Management로 이동합니다

2단계. 게시자 GUI로 시작하고 Find(찾기)를 선택하여 모든 인증서를 표시합니다.
· tomcat.pem Certificate의 Type 열에서 자체 서명 또는 CA 서명 여부를 확인합니다.

· tomcat.pem 인증서가 타사 서명(CA 서명 유형) 배포 다중 SAN인 경우, 다중 SAN tomcat CSR을 생성하는 방법에 대한 다음 링크를 검토하고 CA 서명 tomcat 인증서인 CA 서명 다중 서버 주체 대체 이름 컨피그레이션을 사용하여 CA에 제출합니다.

참고: 다중 SAN tomcat CSR은 CUCM 게시자에서 생성되고 클러스터의 모든 CUCM 및 IM/P 노드에 배포됩니다.

· tomcat.pem 인증서가 서드파티 서명(CA 서명 유형) 배포 단일 노드인 경우(배포 이름이 인증서의 공용 이름과 같음) 단일 노드 cup-xmpp CSR을 생성하고 CA 서명 cup-xmpp 인증서에 대해 CA에 제출하는 다음 링크를 검토하십시오. Jabber 인증서 검증을 위한 How-To 가이드

· tomcat.pem Certificate(tomcat.pem 인증서)가 Self-signed(셀프 서명)된 경우 3단계로 진행합니다.

3단계. 모든 인증서를 표시하려면 Find(찾기)를 선택합니다
· tomcat.pem 인증서 선택
· Select Regenerate(재생성 선택)를 열고 팝업이 닫히기 전에 Success(성공) 팝업이 표시될 때까지 기다립니다.

4단계. 각 후속 가입자로 계속 진행하여 2단계에서 동일한 절차를 수행하고 클러스터의 모든 가입자에서 작업을 완료합니다.

4단계. 모든 노드에서 Tomcat 인증서를 다시 생성한 후 모든 노드에서 Tomcat 서비스를 다시 시작합니다. 게시자로 시작하고 그 뒤에 가입자가 옵니다.
· Tomcat 서비스를 재시작하려면 그림과 같이 각 노드에 대한 CLI 세션을 열고 utils service restart Cisco Tomcat 명령을 실행해야 합니다.

만료된 트러스트 인증서 삭제

참고: 적절한 경우 신뢰 인증서(-trust로 끝남)를 삭제할 수 있습니다. 삭제할 수 있는 신뢰 인증서는 더 이상 필요하지 않거나, 만료되었거나, 폐기된 인증서입니다. 5개의 ID 인증서를 삭제하지 마십시오. cup.pem, cup-xmpp.pem, cup-xmpp-s2s.pem, ipsec.pem 및 tomcat.pem 인증서  아래의 서비스 재시작은 해당 서비스 내에서 이러한 레거시 인증서의 메모리 정보를 지우도록 설계되었습니다.

참고: Presence Redundancy Group Configuration(프레즌스 이중화 그룹 컨피그레이션)에서 Enable High Availability(고가용성 활성화)를 선택한 경우, 서비스가 Stopped/Started(정지/시작됨) 또는 Restarted(재시작됨)되기 전에 선택을 취소합니다. Presence Redundancy Group Configuration(프레즌스 이중화 그룹 컨피그레이션)은 CUCM Pub Administration(CUCM Pub 관리) > System(시스템) > Presence Redundancy Group(프레즌스 이중화 그룹)에서 액세스할 수 있습니다. 아래의 일부 서비스를 다시 시작하면 IM/P가 일시적으로 중단되며 운영 시간 외에 수행해야 합니다.

1단계. Cisco Unified Serviceability(Cisco Unified 서비스 가용성) > Tools(툴) > Control Center - Network Services(제어 센터 - 네트워크 서비스)로 이동합니다.

· 드롭다운 메뉴에서 IM/P 게시자를 선택하고 Cisco Certificate Expiry Monitor 중지, Cisco Intercluster Sync Agent 중지를 차례로 선택합니다

· 클러스터의 각 IM/P 노드에 대해 이러한 서비스 중지를 반복합니다.

참고: Tomcat-trust 인증서를 삭제할 경우 CUCM 게시자의 Cisco Unified Serviceability > Tools > Control Center - Network Services로 이동합니다

· 드롭다운 메뉴에서 CUCM 게시자를 선택합니다.
· Stop of Cisco Certificate Expiry Monitor(Cisco 인증서 만료 모니터 중지)를 선택하고 Stop of Cisco Certificate Change Notification(Cisco 인증서 변경 알림 중지)
· 클러스터의 모든 CUCM 노드에 대해 반복

2단계. Cisco Unified OS Administration(Cisco Unified OS 관리) > Security(보안) > Certificate Management(인증서 관리) > Find(찾기)로 이동합니다.
· 만료된 트러스트 인증서를 찾습니다. 버전 10.X 이상에서는 만료로 필터링할 수 있습니다. 10.0 이하 버전에서는 수동으로 또는 RTMT 알림을 통해 특정 인증서를 식별해야 합니다.
· 동일한 신뢰 인증서가 여러 노드에 나타날 수 있습니다. 각 노드에서 개별적으로 삭제해야 합니다.
· 삭제할 신뢰 인증서를 선택합니다(버전에 따라 팝업이 표시되거나 동일한 페이지의 인증서로 이동됨).
   · 삭제를 선택합니다(이 인증서를 영구적으로 삭제하려고 하는 것으로 시작하는 팝업이 표시됩니다...)
   · 확인 선택

3단계. 삭제할 모든 트러스트 인증서에 대해 이 과정을 반복합니다

4단계. 완료되면 삭제된 인증서와 직접 관련된 서비스를 다시 시작해야 합니다.

· CUP 트러스트: Cisco SIP Proxy, Cisco Presence Engine 및 SIP Federation, Cisco XCP SIP Federation Connection Manager에 대해 구성된 경우(CUP 인증서 섹션 참조)
· CUP-XMPP-Trust: Cisco XCP 라우터(CUP-XMPP Certificate 섹션 참조)
· CUP-XMPP-S2S-trust: Cisco XCP Router 및 Cisco XCP XMPP Federation Connection Manager
· IPSEC-trust: DRF 마스터/DRF 로컬(IPSEC 인증서 섹션 참조)
· Tomcat 신뢰: 명령줄을 통해 Tomcat 서비스 재시작(Tomcat 인증서 섹션 참조)

5단계. 1단계에서 이전에 중지된 서비스 다시 시작

다음을 확인합니다.

현재 이 설정에 사용 가능한 확인 절차는 없습니다.

문제 해결

현재 이 설정에 사용할 수 있는 특정 문제 해결 정보가 없습니다.